Felkonfigurerade fjärråtkomsttjänster fortsätter att ge dåliga aktörer en enkel åtkomstväg till företagsnätverk – så här kan du minimera din exponering för attacker med hjälp av Remote Desktop Protocol
När covid-19-pandemin spred sig över hela världen övergick många av oss, inklusive jag, till att arbeta heltid hemifrån. Många av ESETs anställda var redan vana vid att arbeta på distans en del av tiden, och det handlade till stor del om att skala upp befintliga resurser för att hantera tillströmningen av nya distansarbetare, som att köpa några fler bärbara datorer och VPN-licenser.
Detsamma kan dock inte sägas för många organisationer runt om i världen, som antingen var tvungna att konfigurera åtkomst för sin fjärranställda från början eller åtminstone kraftigt skala upp sina Remote Desktop Protocol (RDP)-servrar för att göra fjärråtkomst användbar för många samtidiga användare.
För att hjälpa dessa IT-avdelningar, särskilt de för vilka en distansarbetsstyrka var något nytt, arbetade jag med vår innehållsavdelning för att skapa ett dokument som diskuterade vilka typer av attacker ESET såg som var specifikt inriktade på RDP, och några grundläggande steg för att skydda mot dem . Det papperet kan hittas här på ESET:s företagsblogg, om du är nyfiken.
Ungefär samtidigt som denna förändring inträffade återinförde ESET vår globala hotrapporter, och en av sakerna vi noterade var RDP-attackerna fortsatte att växa. Enligt vår hotrapport för de första fyra månaderna 2022över 100 XNUMX miljard sådana attacker försöktes, varav över hälften spårades tillbaka till ryska IP-adressblock.
Det var uppenbart att det fanns ett behov av att ta en ny titt på RDP-exploaterna som utvecklades, och de attacker de möjliggjorde, under de senaste åren för att rapportera vad ESET såg genom sin hotintelligens och telemetri. Så, vi har gjort just det: en ny version av vår 2020-tidning, nu med titeln Remote Desktop Protocol: Konfigurera fjärråtkomst för en säker arbetsstyrka, har publicerats för att dela den informationen.
Vad har hänt med RDP?
I den första delen av detta reviderade dokument tittar vi på hur attacker har utvecklats under de senaste åren. En sak som jag skulle vilja dela är att inte alla attacker har ökat. För en typ av sårbarhet såg ESET en markant minskning av utnyttjandeförsök:
- Detekteringar av BlueKeep (CVE-2019-0708) maskbar exploatering i Remote Desktop Services har minskat med 44 % från sin topp 2020. Vi tillskriver denna minskning till en kombination av patchningsmetoder för berörda versioner av Windows plus exploateringsskydd vid nätverkets omkrets.
Ett av de ofta hörda klagomålen om datorsäkerhetsföretag är att de lägger för mycket tid på att prata om hur säkerheten alltid blir sämre och inte förbättras, och att alla goda nyheter är sällsynta och övergående. En del av den kritiken är giltig, men säkerhet är alltid en pågående process: nya hot dyker alltid upp. I det här fallet verkar det som goda nyheter att se försök att utnyttja en sårbarhet som BlueKeep minska med tiden. RDP används fortfarande i stor utsträckning, och det betyder att angripare kommer att fortsätta att forska om sårbarheter som de kan utnyttja.
För att en klass av utnyttjande ska försvinna måste allt som är sårbart för dem sluta användas. Senast jag minns att jag såg en så omfattande förändring var när Microsoft släppte Windows 7 2009. Windows 7 kom med stöd för AutoRun (AUTORUN.INF) inaktiverat. Microsoft backporterade sedan denna ändring till alla tidigare versioner av Windows, även om det inte var perfekt första gången. En funktion sedan Windows 95 släpptes 1995, har AutoRun missbrukats kraftigt för att sprida maskar som Conficker. Vid ett tillfälle stod AUTORUN.INF-baserade maskar för nästan en fjärdedel av hoten som ESET:s programvara stötte på. Idag står de för under a tiondels procent av upptäckter.
Till skillnad från AutoPlay förblir RDP en regelbundet använd funktion i Windows och bara för att det finns en minskning av användningen av en enda exploatering mot den betyder det inte att attackerna mot den som helhet minskar. Faktum är att attacker mot dess sårbarheter har ökat enormt, vilket ger en annan möjlighet till minskningen av BlueKeep-detektioner: Andra RDP-exploateringar kan vara så mycket effektivare att angripare har gått över till dem.
Att titta på två års data från början av 2020 till slutet av 2021 verkar stämma överens med denna bedömning. Under den perioden visar ESET-telemetri en massiv ökning av skadliga RDP-anslutningsförsök. Hur stort var hoppet? Under det första kvartalet 2020 såg vi 1.97 miljarder anslutningsförsök. Vid det fjärde kvartalet 2021 hade det ökat till 166.37 miljarder anslutningsförsök, en ökning med över 8,400 XNUMX %!
Figur 2. Skadliga RDP-anslutningsförsök upptäckts över hela världen (källa: ESET-telemetri). Absoluta tal är avrundade
Det är uppenbart att angripare finner värde i att ansluta till organisationers datorer, vare sig de bedriver spionage, planterar ransomware eller någon annan kriminell handling. Men det går också att försvara sig mot dessa attacker.
Den andra delen av det reviderade dokumentet ger uppdaterad vägledning om att försvara sig mot attacker mot RDP. Även om detta råd är mer inriktat på de IT-proffs som kanske inte är vana vid att hårdna upp sitt nätverk, innehåller det information som till och med kan vara till hjälp för mer erfaren personal.
Ny data om SMB-attacker
Med datauppsättningen om RDP-attacker kom ett oväntat tillägg av telemetri från försök till Server Message Block (SMB)-attacker. Med tanke på denna extra bonus kunde jag inte låta bli att titta på data och kände att den var komplett och intressant nog att ett nytt avsnitt om SMB-attacker och försvar mot dem kunde läggas till tidningen.
SMB kan ses som ett kompletterande protokoll till RDP, eftersom det tillåter filer, skrivare och andra nätverksresurser att nås på distans under en RDP-session. 2017 släpptes den offentliga EternalBlue (CVE-2017-0144) avmaskningsbar exploatering. Användningen av exploateringen fortsatte att växa 2018, 2019, och in i 2020, enligt ESET telemetri.
Figur 3. CVE -2017-0144 "EternalBlue"-detektioner över hela världen (Källa: ESET telemetri)
Sårbarheten som utnyttjas av EternalBlue finns endast i SMBv1, en version av protokollet som går tillbaka till 1990-talet. SMBv1 var emellertid allmänt implementerat i operativsystem och nätverksanslutna enheter i decennier och det var inte förrän 2017 som Microsoft började skicka versioner av Windows med SMBv1 inaktiverat som standard.
I slutet av 2020 och fram till 2021 såg ESET en markant minskning av försöken att utnyttja EternalBlue-sårbarheten. Precis som med BlueKeep, tillskriver ESET denna minskning av upptäckter till patchningsmetoder, förbättrat skydd vid nätverksperimetern och minskad användning av SMBv1.
Avslutande tankar
Det är viktigt att notera att denna information som presenteras i detta reviderade dokument samlades in från ESET:s telemetri. Varje gång man arbetar med hottelemetridata finns det vissa förbehåll som måste tillämpas för att tolka dem:
- Att dela hottelemetri med ESET är valfritt; om en kund inte ansluter till ESETs LiveGrid®-system eller delar anonymiserad statistisk data med ESET, kommer vi inte att ha någon information om vad deras installation av ESETs programvara stötte på.
- Detekteringen av skadlig RDP- och SMB-aktivitet görs genom flera lager av ESET:s skydd teknik, Inklusive Botnet-skydd, Brute Force Attack Protection, Skydd mot nätverksattacker, och så vidare. Alla ESETs program har inte dessa skyddsskikt. Till exempel ger ESET NOD32 Antivirus en grundläggande skyddsnivå mot skadlig programvara för hemanvändare och har inte dessa skyddande lager. De finns i ESET Internet Security och ESET Smart Security Premium, såväl som i ESET:s program för slutpunktsskydd för företagsanvändare.
- Även om det inte användes vid utarbetandet av detta dokument, tillhandahåller ESET-hotrapporter geografiska data ner till region- eller landsnivå. GeoIP-detektering är en blandning av vetenskap och konst, och faktorer som användningen av VPN och det snabbt föränderliga ägandet av IPv4-block kan ha en inverkan på platsnoggrannheten.
- Likaså är ESET en av många försvarare i detta utrymme. Telemetri berättar för oss vilka installationer av ESETs programvara som förhindrar, men ESET har ingen insikt i vad kunder till andra säkerhetsprodukter stöter på.
På grund av dessa faktorer kommer det absoluta antalet attacker att bli högre än vad vi kan lära oss av ESET:s telemetri. Som sagt, vi tror att vår telemetri är en korrekt representation av den övergripande situationen; den övergripande ökningen och minskningen av upptäckter av olika attacker, procentuellt sett, såväl som attacktrenderna som noterats av ESET, kommer sannolikt att vara liknande inom säkerhetsbranschen.
Särskilt tack till mina kollegor Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná och Peter Stančík för deras hjälp vid revideringen av detta dokument.
Aryeh Goretsky, ZCSE, rMVP
Framstående forskare, ESET
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- ESET Research
- brandvägg
- kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- Vi lever säkerhet
- webbplats säkerhet
- zephyrnet
